¿Cómo debe la mesa de servicio restablecer las contraseñas?

Restablecer la contraseña

Pregúntele al técnico promedio de la mesa de ayuda qué hace todo el día, y probablemente le responderá diciendo que restablece las contraseñas. Claro, los técnicos de la mesa de ayuda también hacen muchas otras cosas, pero en muchas organizaciones, una cantidad desproporcionada de llamadas a la mesa de ayuda están vinculadas a restablecimientos de contraseña.

En la superficie, hacer que un técnico de la mesa de ayuda restablezca la contraseña de un usuario probablemente no parezca gran cosa. Después de todo, el técnico simplemente abre Usuarios y equipos de Active Directory, hace clic con el botón derecho en la cuenta de usuario y elige el comando Restablecer contraseña del menú contextual. Restablecer una contraseña de esta manera es un proceso fácil. Las organizaciones pueden incluso optar por utilizar una herramienta alternativa, como el Centro de administración de Windows o incluso PowerShell, si lo prefieren.

Sin embargo, una cosa en la que la mayoría de la gente probablemente no se detiene a pensar es que, aunque los pasos involucrados en el proceso de restablecimiento de contraseña son bastante simples, el proceso en su conjunto constituye un gran riesgo de seguridad.

Seguridad y la mesa de servicio

El primer paso en el proceso de restablecimiento de contraseña implica que un usuario levante el teléfono y llame al servicio de asistencia para solicitar un restablecimiento de contraseña. El problema con esto es que el técnico de la mesa de ayuda que contesta el teléfono no tiene forma de saber si el usuario es realmente quien dice ser.

Establecer positivamente la identidad de una persona que llama era un problema menor cuando prácticamente todos los usuarios trabajaban en la oficina corporativa, porque la información de identificación de llamadas de un usuario a veces se podía usar como una herramienta de validación. Si bien el uso del identificador de llamadas de esta manera no elimina por completo las posibilidades de que un usuario falsifique la identidad de otro usuario, hace que un usuario que desee hacerse pasar por otro tenga que llamar al servicio de asistencia técnica desde el escritorio de ese usuario.

Hoy, por supuesto, las cosas son muy diferentes de lo que eran antes. A medida que avanza la pandemia, muchos trabajadores continúan trabajando desde casa. Incluso cuando llegue el día en que las personas puedan volver a la oficina de manera segura, es probable que un porcentaje significativo de empleados continúe trabajando de forma remota.

Lamentablemente, el identificador de llamadas no es una herramienta eficaz para validar la identidad de un usuario remoto. Cuando un usuario remoto se comunica con el servicio de asistencia técnica de la organización, está llamando desde una línea externa. Es increíblemente fácil para una persona externa falsificar la información del identificador de llamadas. Los vendedores por teléfono y los estafadores telefónicos usan esta técnica todo el tiempo. Los estafadores a menudo, por ejemplo, alteran la información de su identificador de llamadas para que parezca que pertenecen a una agencia gubernamental o una corporación importante. En pocas palabras, no se puede confiar en el identificador de llamadas para las llamadas que se originan fuera de la organización.

Por lo tanto, si la información del identificador de llamadas no es confiable, las organizaciones deben considerar la mejor manera de validar la identidad de un usuario cuando llamen al servicio de asistencia para solicitar un restablecimiento de contraseña.

Una técnica de validación especialmente común implica hacer una pregunta de seguridad al usuario. El técnico podría, por ejemplo, preguntar a la persona que llama cuál es el nombre de su mascota o en qué ciudad nació. Desafortunadamente, este método también presenta un riesgo de seguridad.

El riesgo más obvio que plantean las preguntas de seguridad es que Internet hace que sea relativamente fácil recopilar información personal sobre alguien. Un atacante puede realizar algunas llamadas al servicio de asistencia técnica de una organización solo con el fin de descubrir qué tipo de preguntas de seguridad hacen. Una vez que el atacante conoce las preguntas que es más probable que se le hagan, puede usar los motores de búsqueda y las redes sociales para investigar las respuestas de un usuario en particular a esas preguntas.

El otro gran problema con el uso de preguntas de seguridad es que el técnico de la mesa de ayuda aprende la respuesta a la pregunta. Un técnico sin escrúpulos podría entonces utilizar esta información con fines ilícitos.

Esto trae a colación un punto importante. No hay nada que impida que un técnico de soporte técnico poco ético realice un restablecimiento de contraseña no solicitado. El técnico puede darse cuenta de que un usuario en particular va a estar de vacaciones durante una semana y luego restablecer la contraseña del usuario para que él u otra persona pueda acceder a la cuenta durante la ausencia del empleado.

Las mejores prácticas para el restablecimiento de contraseña de la mesa de servicio

No hace falta decir que existen algunos desafíos importantes asociados con el proceso de restablecimiento de contraseña. La mejor manera de superar estos desafíos es adoptar una solución de contraseña de terceros que pueda verificar de forma segura la identidad de un usuario antes de realizar un restablecimiento de contraseña. Hay varias formas en que Specops Software puede hacer esto. Un ejemplo consiste en enviar un código de un solo uso al dispositivo móvil de un usuario. Además, la solución Specops evita que los técnicos de la mesa de ayuda restablezcan las contraseñas de manera arbitraria. Un técnico de la mesa de ayuda no puede restablecer una contraseña hasta que el usuario haya validado su identidad, lo que hace imposible que un técnico realice un restablecimiento de contraseña no autorizado.

Obtenga más información sobre cómo Specops puede aumentar la seguridad del restablecimiento de contraseña.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática